Advies van de Autoriteit Persoonsgegevens over privacybeleid
De Autoriteit Persoonsgegevens (AP) doet vijf concrete aanbevelingen voor het verwerken van persoonsgegevens in het verwerkingsregister. De AP heeft verkennend onderzoek gedaan bij dertig organisaties, om een beeld te krijgen hoe het staat met de kwaliteit van de registers. Het bijhouden van een verwerkingsregister is een verplichting voor het merendeel van de Nederlandse organisaties en is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), de privacywetgeving die sinds 25 mei 2018 geldt.
Vijf tips voor uw privacybeleid
De vijf aanbevelingen van de AP voor uw verwerkingsregister zijn:
- Benoem hoe lang en met welk doel u persoonsgegevens wil bewaren.
Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moet u kunnen motiveren waarom u de gegevens verzamelt. - Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens.
- Geef duidelijk aan waar de persoonsgegevens precies bewaard worden en neem deze locaties of bestanden op in het register.
Dit is nodig, voor het geval medewerkers een verzoek om inzage of verwijdering indienen. - Maak duidelijk welk doel bij welke verwerking hoort.
Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende, u dient dit precies te omschrijven.
Wanneer is een verwerkingsregister verplicht?
Het verwerkingsregister is verplicht voor organisaties:
- met meer dan 250 medewerkers;
of, voor organisaties met minder dan 250 medewerkers, als:
- de verwerking van persoonsgegevens niet incidenteel is.
- u persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
- u persoonsgegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Indien het voor uw organisatie verplicht is een verwerkingsregister bij te houden, is het belangrijk om aan deze plicht te voldoen. Het register moet u namelijk kunnen overhandigen aan de Autoriteit persoonsgegevens (AP) als zij hier om vragen.
Meer lezen over de AVG? Bekijk deze checklist